ContiLeaks: Chat und Quellcode der Conti-Ransomware-Gruppe von ukrainischem Cybersicherheitsforscher geleakt
Inhaltsverzeichnis:
Einer der erbittertsten von Russland unterstützten Ransomware-Akteure, Conti-Gruppe, wurde Opfer eines Datenlecks. Am 27. Februar 2022 begann ein mysteriöses Twitter-Mitglied @ContiLeaks eine Reihe von Beiträgen zu veröffentlichen, die mit Archiven mit privaten Nachrichten und dem Quellcode von Conti verlinken. Andere Beiträge eines Whistleblowers machen ziemlich deutlich, dass er ukrainischer Herkunft ist.
Die gute Nachricht ist, dass jetzt, da der Quellcode für Contis Ransomware öffentlich zugänglich ist, Cybersicherheitsexperten auf der Verteidigungsseite Reverse Engineering durchführen und Erkennungs- und Abhilfemaßnahmen entwickeln können. Auf der anderen Seite können aber auch andere Gegner diesen Code potenziell nutzen, um ihre eigenen Angriffe zu starten.
Conti-Ransomware-Erkennung
Das Team von SOC Prime, unterstützt durch Beiträge aus unserer Crowdsourcing-Initiative, entwickelt kontinuierlich Inhalte zur Erkennung von Conti-Ransomware-Angriffen. Sie haben Zugriff auf die speziellen Sigma-verhaltensbasierten Regeln sowie deren Übersetzungen in mehrere SIEM-, EDR- und XDR-Formate, sobald Sie sich in Ihr Konto auf SOC Primes Detection as Code-Plattform eingeloggt haben. Neue Benutzer müssen sich auf der Plattform anmelden, um den vollen Nutzen aus den Erkennungsinhalten zu ziehen.
Setzen Sie die folgenden Regeln ein, um jegliche Chancen auf Conti-Ransomware in Ihrem Netzwerk zu beseitigen:
- Mögliche von ContiLeaks geleakte Dateinamen (via file_event)
- ContiLeaks Installieren von Windows Subsystem Linux mit PowerShell-Skriptblock
- Geplantes Aufgabenverhalten der Conti Ransomware-Gruppe (ContiLeaks)
- ContiLeaks Fernzugriff über SCHTASKS von Cobalt Strike
- ContiLeaks Löschen von Windows Event Viewer Logs mit PowerShell-Skriptblock
- ContiLeaks Lsass-Dumpen ohne Katz über Prozesserstellung
Hinter den Kulissen von ContiLeaks
Nur wenige Tage vor dem Leak erklärte die Conti-Ransomware-Gruppe ihre uneingeschränkte Unterstützung für die russische Regierung im laufenden Krieg gegen die Ukraine. Die Hacker drohten auch damit, kritische Infrastrukturen anzugreifen, falls jemand versuchen sollte, Cyberangriffe auf Russland auszuführen.
Solche Aussagen und Handlungen lösten ukrainische Affiliates innerhalb der Conti-Gruppe aus, darunter einen namenlosen ukrainischen Forscher, der heimlich die Operationen der Bande ausspioniert und untersucht hat. Die Gegenmaßnahme des ukrainischen Unterstützers war schnell und harsch. Die Forscher begannen sofort damit, Contis Interna über öffentliche Kanäle zu leaken.
Die geleakten Dateien enthalten fast zwei Jahre interner Nachrichten im privaten XMPP-Chatserver der Bande. ContiLeaks dumpte auch den Quellcode für Contis BazarBackdoor-API, Admin-Panel, Builder, Verschlüsselerund Entschlüsseler für ihre Ransomware. Andere Sicherheitsforscher haben sich der Bewegung angeschlossen, indem sie die Passwörter für geschützte Archive geknackt und die Chatnachrichten ins Englische übersetzt haben.
Bemerkenswert ist, dass Conti, nachdem die Welt die schmutzige Wäsche eines russischen Bedrohungsakteurs gesehen hat, ihre Rhetorik völlig umgedreht hat und auf ihrer Website erklärte, dass sie den Krieg „verurteilen“. Die neue Aussage von Conti hat den ukrainischen Forscher jedoch nicht überzeugt, der weiterhin sensible Daten leakt.
SOC Prime Plattform hat über 400 prominente Cybersicherheits-Experten versammelt, die zeitnahe Erkennungen für Cyberangriffe jeder Komplexität erstellen. Unsere Erkennungsinhalte können auf mehr als 25 SIEM-, EDR- und XDR-Plattformen eingesetzt werden und werden von Tausenden renommierten Organisationen weltweit genutzt. Unsere Community begrüßt InfoSec-Profis, die an der Verteidigung gegen bekannte und aufkommende Exploits mitarbeiten möchten. Durch die Teilnahme an SOC Primes Crowdsourcing-Initiativekönnen Forscher und Inhaltsersteller aus der ganzen Welt ihre Erkennungen einreichen, wiederkehrende Belohnungen erhalten und Anerkennung bei ihren Kollegen im Cyberbereich erlangen.
